W trakcie konferencji SEMAFOR miałem możliwość poprowadzić prezentację pod nazwą „Cyber risk – wsparcie zarządzania firmą czy zapewnienie zgodności”.
Odbyłem także wiele ciekawych rozmów, najciekawsze wnioski zbieram poniżej.
- Metody jakościowe dość dobrze udowadniają realizację analizy ryzyka, niemniej wyniki nie dają prostej odpowiedzi przy podejmowaniu decyzji.
- Zalecanym podejściem jest stosowanie metod ilościowych szacowania ryzyka.
- Stosowanie zarządzania cyberryzykiem zależy od dojrzałości firmy, im firma jest bardziej dojrzała, tym stosowane metody zarządzania ryzykiem przechodzą do bardziej zaawansowanych technik, w szczególności ilościowej analizy ryzyka.
- Zalecanym podejściem do ilościowego szacowania ryzyka jest bazowanie na danych historycznych – np. na podstawie incydentów bezpieczeństwa.
- Poważnie traktujmy wycenę aktywów dla których ryzyka są znaczące – wyceniajmy je biorąc pod uwagę m.in. wartość bazy danych na czarnym rynku (np. porównanie cen z wystawionych podobnych firm)
– trudne do uzyskania informacje, wartość obniżenia kursu giełdowego, wartość utraconych korzyści przy odejściu klientów.